Politiekorpsen VS mogen Ring-video’s eeuwig bewaren en onbeperkt delen, en bij ons?

| AE 11469 | Privacy, Regulering | 7 reacties

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen tot beelden van de dienstverlener. Ring verzamelt en bewaart beeldopnames van de deurbel-met-camera op haar servers, en kan er dus over beschikken wanneer politie of Justitie daarom vraagt. Naar Amerikaans recht lijkt dat dus in orde, maar vele lezers vroegen zich af, hoe zit dat dan in Nederland gezien de AVG? En jaja, komt ie weer met z’n diensteneconomie.

Eerst maar dat bewaren door de politie. Als die beelden hebben verkregen, worden die in principe alleen gebruikt voor het betreffende onderzoek. Maar ze kunnen (Wet politiegegevens, artikel 8 en verder) ook voor andere onderzoeken worden ingezet. Zomaar een berg verzamelen en bewaren kan dus niet. Maar lijkt me ook niet heel praktisch want wat moet je met een berg video’s waar hooguit een datum en locatie bij zit?

Handiger is lijkt mij ze gewoon per geval vorderen (zoals ook gebeurt bij ons) want dan heb je precies wat je nodig hebt wanneer je het nodig hebt. En ja, vorderen moet, de politie kan beelden niet zomaar vragen omdat er persoonsgegevens op staan. Dat vereist een bevel van de officier van justitie en dat kan alleen worden gegeven in het belang van een strafrechtelijk onderzoek.

Daar staat tegenover dat een burger door hemhaarzelf gemaakte beelden vrijwillig mag afgeven. Als ik meen een misdrijf gefilmd te hebben, dan mag ik daarmee aangifte gaan doen en dan is er geen bevel meer nodig, ik kan dan gewoon die usb-stick met de beelden overhandigen. Dat geldt ook voor bedrijven, dus ook voor Ring. Als die vrijwillig beelden aan de politie willen geven, dan mag dat dus.

Complicatie hier is wel dat het niet hun eigen beelden zijn – de camera’s zijn eigendom van hun klanten, zij bewaren de beelden alleen maar op hun servers. Maar nee, zo werkt dat hier niet. Want daar is ie weer met de diensteneconomie: nee, zo werkt dat hier niet. Data is juridisch niets. Ring levert een dienst, en de artefacten van die dienst (zoals de camerabeelden) bestaan juridisch niet als zelfstandige entiteit. Ring kan daarmee dus doen wat ze wil, tenzij ze contractueel heeft afgesproken van niet. Maar zoals je van Amerikaanse diensten verwacht, zeggen die voorwaarden juist dat men alles mag.

In Nederland zou dat dus in principe ook zo gaan, zij het dat je hier als huiseigenaar er wél wat over te zeggen hebt. Jij hangt die camera op, jij filmt de openbare ruimte (ook al is het slechts bij aanbellen) dus dan zou je best eens de verwerkingsverantwoordelijke voor die beelden kunnen zijn met Ring als verwerker. En een verwerker mag natuurlijk niet zelfstandig de persoonsgegevens aan derden verschaffen. Ook niet als in de algemene voorwaarden staat van wel.

Arnoud

Kamer van Koophandel neemt maatregelen tegen zzp-spam

| AE 11175 | Ondernemingsvrijheid | 8 reacties

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers, waarmee telemarketeers en andere handige jongens snel gerichte reclame kunnen sturen. Een doorn in het oog van veel ondernemers, maar iets dat de KVK altijd rechtvaardigde met een beroep op haar wettelijke taak om gegevens over ondernemingen te verstrekken. Men stopt dan ook niet met de volledige toegang, maar alleen met de laagdrempelige bulkproducten.

Om even een misverstand weg te nemen: gegevens over ondernemers zijn persoonsgegevens, en blijven dat ook als ze in een openbaar register zijn opgenomen voor een wettelijk verplichte registratie. De AVG kent het concept van “publiek domein” of “openbare bron” niet, persoonsgegevens zijn persoonsgegevens als ze over een persoon gaan – en dat is bij een zzp’er of een vof gewoon het geval wanneer je gegevens over deze ondernemer(s) noteert.

De KVK heeft natuurlijk gelijk dat ze van de Handelsregisterwet 2007 een register moeten houden met daarin gegevens van alle ondernemingen in Nederland. Het is verplicht je daar in te schrijven, en vervolgens kan iedereen je daarin zoeken. Doel daarvan is primair dat je na kunt gaan of een bedrijf echt bestaat en wat de authentieke gegevens daarvan zijn.

Een onbedoeld bijeffect was dat bedrijven grote hoeveelheden gegevens gingen opvragen om zo marketingacties te kunnen doen: reclame per post, maar ook telefonische acquisitie en zelfs e-mailreclame. Dat laatste was altijd al een probleem onder de Telecomwet, maar bellen en met name post sturen zijn populair gebleven. Tot ergernis van vele ondernemers. Maar die marketeers riepen dan, het is een openbaar bestand en wij bellen het bedrijf, niet de persoon. Een argument dat dus zeker onder de AVG nu ongeldig is gebleken.

Natuurlijk kun je je afvragen of de wettelijke taak wel zo ver gaat dat je gegevens in bulk moet verkopen voor reclamedoeleinden. Dat mensen recht hebben op inzage of een kopie van iemands gegevens, betekent immers nog niet dat je het makkelijk moet maken om duizenden gegevens tegelijk te verstrekken. Dat standpunt heeft de AP dus ingenomen, zodat de KVK zich nu genoodzaakt ziet om te stoppen met deze handel. (Opvallend vond ik nog dat de KVK vorig jaar zei “Dat doen we al honderd jaar zo”, alsof dat een argument is bij een nieuwe wet.)

Arnoud

Is misbruik van de GDPR een probleem van de GDPR?

| AE 10971 | Privacy, Uitingsvrijheid | 7 reacties

Boos bericht bij Techdirt: in Roemenië wordt misbruik van de AVG (GDPR) gemaakt om een journalistencollectief de mond te snoeren, en dat is een probleem van de AVG want zonder AVG had dit niet gekund. Of zoiets. Het leest als een stuk flamebait, maar ik kan de boosheid van de journalist wel begrijpen want de AVG kent specifieke uitzonderingen voor journalistiek en dan komen ze juist bij de journalisten uit met een (gedreigde) boete van 20 miljoen euro. Dat hoort niet te kunnen. Maar ik zie het als een probleem met de rechtsgang, en niet met de AVG specifiek.

Het achterliggende verhaal is wat moeilijk bij elkaar te puzzelen, maar in de kern komt het hierop neer. In Roemenië is journalistencollectief OCCRP bezig een corruptieschandaal aan te tonen. Men kreeg genoeg bewijs bij elkaar om de European Anti-Fraud Office er naar te laten kijken en een strafrechtelijk onderzoek in het land zelf op te laten starten. Dat suggereert een behoorlijk stevig en betrouwbaar onderzoek.

Na publicatie van resultaten kreeg de partner van OCCRP het Rise Project een sommatie van de Roemeense privacytoezichthouder: een betrokkene heeft een inzageverzoek bij u gedaan en u moet daar gehoor aan geven, op straffe van een boete van 20 miljoen Euro. Het inzageverzoek moet ook de documenten betreffen waar de journalisten bronbescherming op claimen. Niet verrassend: de betrokkene is een van de hoofdrolspelers in het corruptieschandaal. Wel verrassend: de voorzitter van de Roemeense toezichthouder komt uit de partij van diezelfde hoofdrolspeler en zou ook lijntjes naar het corruptieschandaal hebben.

Het theoretische antwoord is natuurlijk simpel. De journalisten hoeven hier geen gehoor aan te geven, omdat bij publicaties voor journalistieke doeleinden veel rechten uit de AVG niet gelden. Dat staat letterlijk zo in de AVG, en komt terug in de Roemeense Uitvoeringswet AVG als een tekstueel duidelijke uitzondering (artikel 7): inzage en verwijdering geldt niet bij journalistieke doeleinden. De iets breder onderlegde journalist zal wijzen op jurisprudentie over bronbescherming als fundamenteel recht, en eenvoudig betogen dat het inzagerecht zich daar niet tot zal uitstrekken (bijvoorbeeld via artikel 15 lid 4, rechten van anderen).

Praktisch gezien zit het Project met een enorm probleem: een dreigende boete van 20 miljoen wanneer ze niet gewoon die gegevens verstrekken. Want op papier klinkt dit allemaal leuk maar als de toezichthouder het anders ziet, dan heb je een héél duur traject om tot je gelijk te komen. Zelfs als iedereen vanaf de zijlijn roept dat je dit gewoon gaat winnen.

Is dit nu een probleem met de AVG, zoals Techdirt-auteur Masnick betoogt? Want de AVG is zo een heel bot instrument om onwelgevallige journalistiek de mond te snoeren. Ook al heb je op papier gelijk, de boete is zo hoog dat iedereen toch wel inbindt. Chilling effect, noemen de Amerikanen dat. Onrecht dat blijft bestaan ondanks dat het wettelijk niet hoort te bestaan.

Mij lijkt van niet. Zeker is het een probleem, maar het probleem zit hem in de praktische gang naar de rechter. Als een organisatie niet de mogelijkheid heeft zich effectief te verweren tegen een dreigende boete van 20 miljoen op grond van argumenten die gezien de wet evident overtuigend zijn, dan heb je geen effectieve rechtsstaat. Dat die boete van 20 miljoen uit de AVG komt, is dan niet meer dan bijzaak. Voor hetzelfde geld kan de eiser anders een smaadclaim construeren, zijn auteursrecht geschonden zien of interferentie met parlementaire privileges of welk bogus argument dan ook aandragen.

Dat maakt de zaak niet minder ergerlijk of fout natuurlijk.

Arnoud

Wanneer mag een auditor onze camerabeelden inzien?

| AE 6365 | Privacy, Security | 4 reacties

Een lezer vroeg me: Van tijd tot tijd komt er bij ons een auditor over de vloer voor de certificering van een van onze klanten (PCI-DSS audit bijvoorbeeld). Soms wil zo’n auditor dan ook de camerabeelden bekijken, om bevestiging te krijgen dat de camerabeveiliging werkt. Mogen wij daarana meewerken? Camerabeelden mogen toch alleen met gerechtelijk… Lees verder

Tweeten of hyperlinken naar persoonsgegevens is verwerking

| AE 5162 | Privacy | 16 reacties

Ik mag het weer zeggen: OMGWTFWBP. Het publiceren van een tweet of het versturen van een e-mail met daarin een hyperlink naar een pagina waar de naam en kenteken van een auto-eigenaar worden vermeld, is verwerking van die persoonsgegevens, zo meldde Webwereld. In een beschikking over een inzageverzoek bepaalt de rechtbank in Den Bosch dat… Lees verder